数据不落地环境下的数据与访问安全实践研究

摘要：针对医院信息系统的运维需求，文章通过在医院的实践构建了一个安全可管理的环境，利用云计算技术和虚拟桌面创新技术，搭建了一套运维审批桌面集群。实现了所有终端数据的集中存储和统一运算处理。采用零信任安全策略，为运维人员提供了随时随地安全接入的平台，强化了流程审批和数据管理，打造了安全便捷的运维操作空间。通过虚拟桌面、零信任架构和单点登录等技术的协同，实现了数据在院内的闭环流动，做到数据不落地、不泄露。提高了运维人员的操作性、便捷性，解决了医院数据防丢失、防泄露以及防止未授权访问等远程运维的痛点问题。

关键词：云计算；虚拟桌面；数据安全；零信任架构；移动办公

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2024）31-0088-03

开放科学（资源服务）标识码（OSID） ：

0 引言

随着计算机和互联网技术的快速发展，医院信息化程度不断加深，进一步推动医院网络规模日益庞大。由此，在带来业务方便性的同时，也随之带来了新的网络安全风险与挑战[1]。随着临床实践与运维技术的深度融合，国家在医疗行业便民举措的推广，医院数据安全和访问权限的管理问题也日益凸显。为确保医院数据资产的安全，为医院构建无数据落地环境下的数据与访问安全，确保数据资产和运维核心业务的完整性和保密性，已经成为信息化建设中不可或缺的考量与挑战。

1 现状分析

随着医疗业务便民发展的需求，医疗数据开放面逐渐增大。医院由早期的内、外网物理隔离，逐渐过渡到内网、非安全系统与安全系统之间的缓冲区（DMZ） 、互联网的网络架构。随着医院终端设备的增多和网络架构的复杂化，信息安全的难题愈发严峻，包括信息泄露的风险、运维成本的攀升以及业务操作的局限性。每当有新系统上线或需要维护时，内外网的数据交换与传输是必不可少的环节。根据医院的管理规定，信息部门需逐一处理运维人员的访问和运维数据使用的权限申请，审批过程烦琐，运维数据的传输往往依赖于信息部门管理通过移动存储介质人工完成，占用了大量的人力。尽管各业务系统能够记录产生的数据和操作行为，但是这种记录仅限于事后的审计，无法实现对操作的全程监控。遇到信息系统紧急问题，医院业务部门希望运维人员能够通过互联网远程介入的方式快速地响应来处理各类问题。

1.1 办公体验不佳

在医疗信息化的基础建设中，临床各终端主要是使用传统的计算机终端（PC）运行各类业务系统。随着医疗服务需求的增长，这些计算机终端上的应用程序数量相应增加，对处理器、内存和存储空间的需求也越来越高。然而，医院的计算机采购均是普通办公电脑，虽然也会根据需求逐步提高配置，但性能难以充分满足运维人员所需要的高效工具的性能需求。运维人员更倾向于选择使用公司或个人配置的性能强大的便携式笔记本，方便他们快速开展运维工作。

1.2 运维工作烦琐

出于网络安全的考虑，医院规定各信息系统运维人员必须在医院内网进行操作，准入机制要求是禁止接入便携式笔记本电脑。项目上线期，在内网的计算机终端安装运维软件及配置环境等工作会占用运维人员大量的时间，向内网拷贝相关软件需医院信息主管部门审批并协助拷贝，整体增加了操作的烦琐性，从而影响项目进度。项目进入运维期，运维工程师频繁的人员变更导致信息主管部门承担了额外的培训和交接任务。项目结束后，运维工程师使用的计算机终端中遗留的运维关键信息和成果难以及时、有效地处理，增加了医院信息主管部门数据清理的复杂度。

1.3 数据管控风险

在信息系统的运维过程中，运维人员不可避免地要操作信息系统数据库，接触大量的患者信息等敏感数据，由于个人设备的管控难题，医院信息主管部门难以控制私自下载数据、越界远程访问服务器，以及数据泄露等问题，这些问题是医院在数据安全管理上的难点和风险点。如果因管控不力，造成因外接设备引发终端或者服务器感染病毒或恶意软件，导致信息系统的瘫痪、数据丢失或者敏感信息的泄露，都将会给医院带来严重的影响。

2 基于数据不落地场景下的数据安全与访问安全实践

医院在追求数据不落地的零信任云计算架构中，寻找对网络安全、运维体验、数据保护及统一管理的综合解决方案。本次通过时间，实现一个既安全又便捷的数字化工作环境，防止关键运维信息的泄露，支持运维人员实现移动办公，优化业务访问的流畅度，同时确保运维操作的高效管理。

2.1 体系架构设计

本体系架构以政策法规与有效管理为指导的建设原则，以此作为基础框架设计的依据，确保业务需求与安全策略的无缝对接。遵循政策法规、融合先进技术以及保障数据安全是医疗机构在网络建设过程中必须遵循的三个核心要素。只有在这三个方面都做好充分准备和应对措施，才能确保医疗机构在网络化、数字化进程中始终保持安全稳定的发展态势。

1） 遵循政策法规：《中华人民共和国网络安全法》和《网络安全等级 保护基本要求（GB/T 22239- 2019） 》（等保 2.0） 等系列标准是我国各行业、 各领域开展网络安全工作的法律依据和策略标准，医院网络安全防护必须以此为参考[2]。医疗机构在网络建设中必须严格遵守这些规定，确保业务操作符合法律要求。同时，针对医疗卫生领域的特殊性，还需要遵循等级保护标准和网络管理规定，构建符合医疗行业特点的安全防护体系。这不仅能够保障患者信息的安全，还能避免因违反法规而带来的法律风险。

2） 融合先进技术：融合先进技术是提升网络安全水平的关键。随着移动互联网的普及，移动办公已成为医疗机构不可或缺的一部分。然而，移动办公也带来了新的安全挑战。因此，医疗机构需要结合移动办公功能，实现远程办公的便捷与安全。一体化身份管理与认证机制的应用，能够确保用户身份的合法性和权限的合理性，防止未经授权的访问和操作。而行为分析技术和严谨的安全审计体系的应用，能够实时监控网络行为，及时发现并处置潜在的安全威胁，为网络安全保驾护航。

3） 保障数据安全：无论是在内部网络还是公共互联网环境下，运维操作的数据都不应保存在本地，通过加密传输、云存储等方式，确保数据始终处于安全的院内环境中。针对敏感数据的访问和使用，医疗机构需要制定严格的管理制度和操作规范，确保数据的合法、合规使用。同时，为防范医疗机构数据丢失或损坏的风险，应提前建立完善的数据备份和恢复机制。

2.1.1 安全运维平台基础建设

根据规划医院本次整合了8台实体服务器，利用云计算和虚拟化技术，构建了功能强大的虚拟桌面资源池。服务器集群采用了N+1配置，确保每个节点都能被其他节点监控。一旦某个主机出现故障，故障转移机制会立刻启动，在其他健康的服务器上恢复虚拟桌面服务，确保业务持续运行。在存储的管理上，利用虚拟化存储技术，将服务器内置硬盘整合成一个统一的、高效率的存储池。这种方法能够有效降低成本，无须额外增加外部存储，能够实现高端存储系统的性能及保障数据安全性。在网络构建上，应用了端口聚合技术，将多个网络接口汇聚，提升了网络带宽和故障抵抗力。每台服务器均配置有6个千兆以太网接口和2 个万兆光纤接口，其中的业务网由2个千兆网口负责，管理网由另外2个千兆网口承担，剩下的2个万兆光纤接口连接存储网络，高可用性地设计构建一套运维桌面资源池架构，确保系统的稳定运行。在后端集中管理和运行虚拟化桌面资源池，整合了传统PC的计算力量与存储空间，为运维人员提供一个云端运维工作平台。这个资源池具备动态调配的特性，能够根据运维用户的实际需求分配计算与存储资源。运维人员只须根据实际需求进行申请，经医院信息主管部门审批后即可通过多样化的设备接入，如智能手机、个人计算机或平板电脑（只须确保设备联网）。这种虚拟化桌面让运维人员只能看到显示的图像和执行的指令，数据全程保留在后端，确保数据不直接在前端展示。并且虚拟桌面还配备了屏幕水印和操作录制功能，进一步加强了数据安全性的保障，防止信息泄露。

信息主管部门负责分发统一的运维工作站，采用的是在服务器虚拟化集群中创建一个基础的虚拟工作站模板，这个模板中预先配置了各项目运维所需要的操作系统相关软件。在实施的时候能够迅速并大规模地向各终端推送部署运维工作站，确保了运维环境的快速搭建。虚拟桌面分发流程如图1所示。一旦后期有任何运维环境的调整需求，比如添加新的运维软件、系统的升级等，都是由管理员后台管控，在模板中统一进行。防止了运维用户在工作站上随意安装软件，有效维护医院内部网络环境的安全性和工作的操作效率。

2.1.2 零信任平台建设

医院传统的外部接入方式大多数是采用虚拟私有网络（VPN） 建立内、外网通信。为满足运维工程师对安全、灵活的远程办公需求，此次选择了零信任安全架构（SDP） 构建访问平台。具体的业务访问流程如图2所示。

零信任的意思是“从不信任，持续验证”，即默认不信任内外网的任何人或是设备，实时验证接入终端的安全与可靠性[3]。零信任平台的核心是由零信任代理网关和零信任控制中心组成，零信任的一个重要理念是先认证后连接，采用网络隐身技术隐藏的访问资产，必须通过认证才能发起访问连接通信[4]。控制中心负责对运维用户的身份验证、权限分配、策略管理与分发等。通过评估接入者的身份、设备状态、环境因素以及行为模式，依据提前设定的策略规则，决定接入者的准入权限，发送指令给代理网关执行放行或阻断的操作。运维用户的外网认证分发流程图如图3 所示。安全代理网关对HTTPS的代理访问和SSL隧道代理访问，确保信息传输的安全。采用了SPA单包授权技术，只有通过验证的用户才能建立连接，确保平台免受攻击。

零信任功平台的实施有五个关键层面：用户认证的可靠性、终端与应用程序的可信度、安全的连接途径、数据保护的稳固性以及权限管理的可靠性。在用户申请接入时，系统会对设备环境和防病毒状态进行合规性筛查。在用户连接期间，零信任平台会启用访问隧道的加密技术，实施多因素身份验证措施。在用户接入业务系统后，平台会持续地监控环境变化，维护访问安全，始终确保信息的无缝安全流转。

2.1.3 统一身份认证建设

在远程运维的环境中，引入了零信任架构的接入认证机制，采用了一体化的认证系统。用户只需在零信任平台上进行一次认证，即可实现虚拟桌面与零信任平台之间的无缝单点登录。该平台融合了桌面云技术和零信任安全架构，确保了权限控制与身份验证的一致性，实现了便捷的单点登录。

3 建设成效

医院在各类信息技术的推动下，进入到快速发展阶段。无论是医院的各类信息系统，或者是工作人员数量都十分庞大，为了让桌面云技术在医院信息化建设中发挥更好的作用，应该从设计应用环节进行规范，提升设计合理性[5]。通过本次以零信任理念为核心构建的云桌面平台，实现了数据在云端的安全流转，确保医院数据安全和网络访问安全，实现了安全与效率的双重保障。有效缩小了业务暴露面，抵御来自互联网的潜在威胁。实现了运维工程师通过安全的远程方式接入医院内网进行操作，传输到外网用户的仅仅只是处理后的视觉信息，如画面和图像，而核心的业务数据始终保留在内网，不会有任何泄露的风险。确保数据不落地。本方案提升了运维效率，提高了数据的安全性，降低了运维成本。

4 结束语

本文基于医院信息化建设基础，通过融合并强化现有的安全防护体系，借助虚拟化桌面与零信任架构的融合创新，打造出了一个更为便捷、安全且高效的运维操作空间。此次建设不仅确保了医疗运维团队能够随时随地顺利执行工作任务，还显著提升了系统的安全性与运维人员的日常管理效率。未来，将根据运维人员的实际需求持续拓展系统的使用场景与覆盖范围，以满足更多元化的运维需求。

参考文献：

[1] 李梦悦，陈敏.基于零信任架构的医院网络安全防护研究[J]. 中国数字医学，2021，16（9）：106-109.

[2] 孟晓阳，王辰超，朱卫国.医院网络安全防护策略实践与探讨[J].中国卫生信息管理杂志，2020，17（3）：290-295.

[3] 楼文彦.基于零信任联动云桌面的医院内外网隔离方案[J]. 网络安全技术与应用，2023（5）：112-114.

[4] 许明，包国峰.医院零信任网络安全分析及框架体系设计[J]. 中国卫生信息管理杂志，2022，19（6）：884-888.

[5] 沈潇.关于桌面云技术应用于医院信息系统的实现与效益分析[J].中国新通信，2019，21（14）：106.

【通联编辑：光文玲】